A VMware négy súlyos sebezhetőséget javított az ESXi, Workstation, Fusion és Tools rendszereiben, miután ezeket kihasználták a Pwn2Own Berlin 2025 versenyen. Három biztonsági rés – CVE-2025-41236, CVE-2025-41237 és CVE-2025-41238 – veszélyesen magas, 9,3-as súlyossági pontszámot kapott, mivel lehetővé teszik, hogy a vendég operációs rendszeren futó programok parancsokat hajtsanak végre a gazdagépen. Az egyik sérülékenység a VMXNET3 virtuális hálózati adapter túlcsordulása miatt veszélyes, egy másik az adatszegmensek hibás kezelésével írhatja felül a memóriát, míg a harmadik a PVSCSI vezérlőn keresztül teszi ugyanezt, helyi adminisztrátori jogosultsággal, akár a VMX folyamatként is futtatható kódot jelentve.
Adatszivárgás és pénzeső a versenyzőknek
A negyedik rés, a CVE-2025-41239, 7,1-es súlyossági szinttel információszivárgásra nyitott kaput, különösen a Windowsos VMware Tools-t érintve. Külön workaroundokat nem adtak ki, a biztonság érdekében a legújabb verzió telepítése kötelező. Ezeket mind sikeresen demonstrálták a Pwn2Own Berlin 2025 versenyen, ahol összesen 394 millió forintot osztottak szét a 29 feltört nulla napos hibáért a kutatóknak.
